3. Charakterystyka środowiska funkcjonowania systemów informatycznych zarządzania sieć Internet



Podobne dokumenty
1 Technologie Informacyjne WYKŁAD I. Internet - podstawy

3.3. Bezpieczeństwo systemów sieciowych wprowadzenie

Internet w przedsiębiorstwie

Zdalne logowanie do serwerów

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

Sieci komputerowe. Wstęp

Adres IP

Sieci komputerowe i bazy danych

ZiMSK. Konsola, TELNET, SSH 1

MODEL WARSTWOWY PROTOKOŁY TCP/IP

SSL (Secure Socket Layer)

Usługi sieciowe systemu Linux

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Protokoły zdalnego logowania Telnet i SSH

Sieci VPN SSL czy IPSec?

World Wide Web? rkijanka

Zastosowania PKI dla wirtualnych sieci prywatnych

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, . A. Kisiel,Protokoły DNS, SSH, HTTP,

Przewodnik użytkownika

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Instrukcja konfiguracji funkcji skanowania

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Model sieci OSI, protokoły sieciowe, adresy IP

4. Podstawowa konfiguracja

Podstawy Secure Sockets Layer

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Dr Michał Tanaś(

Serwer druku w Windows Server

Bezpieczeństwo usług oraz informacje o certyfikatach

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

SMB protokół udostępniania plików i drukarek

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

INSTRUKCJA INSTALACJI SYSTEMU

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Sprawozdanie nr 4. Ewa Wojtanowska

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Technologie informacyjne (6) Zdzisław Szyjewski

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Metody zabezpieczania transmisji w sieci Ethernet

WYKORZYSTANIE METOD WIELOWYMIAROWEJ ANALIZY STATYSTYCZNEJ I SZTUCZNEJ INTELIGENCJI W SIECI INTERNET

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Tomasz Greszata - Koszalin

Akademia Techniczno-Humanistyczna w Bielsku-Białej

ZiMSK NAT, PAT, ACL 1

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Dr Michał Tanaś(

Wybrane działy Informatyki Stosowanej

Protokoły sieciowe - TCP/IP

Szczegółowy opis przedmiotu zamówienia:

Problemy z bezpieczeństwem w sieci lokalnej

SET (Secure Electronic Transaction)

Wprowadzenie do zagadnień związanych z firewallingiem

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

29. Poprawność składniowa i strukturalna dokumentu XML

Technologie cyfrowe. Artur Kalinowski. Zakład Cząstek i Oddziaływań Fundamentalnych Pasteura 5, pokój 4.15 Artur.Kalinowski@fuw.edu.

WSIZ Copernicus we Wrocławiu

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

11. Autoryzacja użytkowników

Serwery. Autorzy: Karol Czosnowski Mateusz Kaźmierczak

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Projektowanie bezpieczeństwa sieci i serwerów

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

n = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.

Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Marcin Pilarski

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

WYKŁAD 1 METAJĘZYK SGML CZĘŚĆ 1

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

Szczegółowe informacje dotyczące przekazywania do Bankowego Funduszu Gwarancyjnego informacji kanałem teletransmisji

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji

Agenda. Quo vadis, security? Artur Maj, Prevenity

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Instrukcja instalacji Control Expert 3.0

Warstwy i funkcje modelu ISO/OSI

Metody ataków sieciowych

Wprowadzenie do technologii VPN

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

SIECI KOMPUTEROWE. Podstawowe wiadomości

Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B

Stos TCP/IP. Warstwa aplikacji cz.2

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

ZPKSoft WDoradca. 1. Wstęp 2. Architektura 3. Instalacja 4. Konfiguracja 5. Jak to działa 6. Licencja

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE

Transkrypt:

3. Charakterystyka środowiska funkcjonowania systemów informatycznych zarządzania sieć Internet Trudno wyobrazić sobie nowoczesne przedsiębiorstwo, które nie wykorzystuje sieci Internet w swojej codziennej działalności. Zakres zastosowań Internetu w działalności firm jest bardzo rozległy i właściwe jego wykorzystanie wymagałoby napisania odrębnego podręcznika. W tym rozdziale skoncentrowano się wyłącznie na tych aspektach funkcjonowania Internetu w przedsiębiorstwie, które dotyczą funkcjonowania systemów informatycznych zarządzania: opisach standardów technicznych sieci, standardów związanych z elektroniczną wymianą danych oraz zagadnieniach związanych z bezpieczeństwem systemów. 3.1. Internet, intranet, ekstranet Rewolucja technologiczna, która rozegrała się na przełomie XX i XXI wieku, wymusza na firmach z prawie wszystkich gałęzi gospodarki pracę w globalnych sieciach. Internet jest obecny wszędzie, trudno więc wyobrazić sobie, aby nie był wykorzystywany w przedsiębiorstwach. Z drugiej jednak strony zasoby przedsiębiorstw nie powinny być tak publicznie dostępne, jak Wikipedia, Facebook czy Nasza-klasa (choć nawet te dwa ostatnie serwisy umożliwiają dostęp do większości treści tylko zalogowanym użytkownikom), a dostęp do najbardziej wrażliwych informacji, takich jak obroty za wybrany okres czy lista kontrahentów, powinny mieć tylko osoby uprawnione. Zazwyczaj więc sieci korporacyjne dużych i średnich (a coraz częściach również mini- i mikro-) organizacji gospodarczych, jakimi są przedsiębiorstwa, oddzielane są od sieci globalnej przez zapory sieciowe (firewalle). Ma to po pierwsze uniemożliwić przypadkowe dostanie się na serwer korporacyjny zwykłym użytkownikom Internetu, po drugie znacznie utrudnić pracę różnego typu włamywaczom sieciowym, hakerom, crackerom itp. Konsekwencją stosowania ścian ogniowych jest wydzielenie w organizacji stref sieciowych działających na tej samej infrastrukturze i według tych samych standardów technologicznych, jednak silnie rozdzielonych funkcjonalnie. Administratorzy dużych sieci mówią zazwyczaj o podziale na sieć niechronioną (otwartą, przed firewallem), sieć chronioną (schowaną za firewallem) i strefę zdemilitaryzowaną (DMZ Demilitarized Zone sieć częściowo chronioną, nieschowaną za firewallem, jednak z wdrożonymi innymi technikami zabezpieczeń). W praktyce działania organizacji gospodarczych standardem jest jednak trochę 42

inny podział na publiczną sieć Internet, prywatną intranet i prywatną wewnątrz publicznej ekstranet. Internet to globalna, ogólnoświatowa sieć komputerowa oparta na protokole adresowym IP i protokole transportowym TCP. Jej początki sięgają 29 października 1969 r., kiedy to połączenie pomiędzy Szkołą Inżynierii i Nauk Stosowanych Uniwersytetu Kalifornijskiego w Los Angeles (UCL) I Instytutem Badawczym Uniwersytetu Stanford w Menlo Park (SRI International) dała początek sieci ARPANET, pracującej jeszcze w protokole X.25, która to sieć stopniowo połączyła uczelnie i instytuty badawcze zachodniego wybrzeża Stanów Zjednoczonych. W 1983 r. sieć ta zaczęła działać w protokole TCP/IP opracowanym przez agencję obronną DARPA i wykorzystywanym do tej pory testowo, tzn. sieci DARPANET. Prawdziwie przełomowy dla funkcjonowania sieci stał się koniec lat 80. i początek 90. poprzedniego wieku, gdyż w tym czasie w Centrum Badawczym Energetyki Jądrowej w Bernie (CERN) opracowano język znaczników HTML, który dość szybko został wykorzystany w pierwszej przeglądarce sieci World Wide Web, której udało się uzyskać dużą popularność była to przeglądarka Mosaic 1. Równocześnie mniej więcej w tym samym czasie do sieci ARPANET zaczęto podłączać inne funkcjonujące wtedy sieci rozległe, takie jakie EARNET, USENET czy BITNET, a całość zyskała obecną nazwę Internetu. Od tego czasu sieć zaczęła się bardzo gwałtownie rozwijać, szybko stając się globalnym medium komunikacyjnym. Wszystkie komputery w sieci Internet mają unikatowy adres, zwany adresem IP, składający się z czterech liczb z przedziału 0-255 rozdzielonych kropkami (np. 78.8.58.126). Przydziałem adresów zajmuje się Internet Corporation for Assigned Names and Number (ICANN) instytucja powołana przez rząd Stanów Zjednoczonych. Uważny czytelnik zauważy, iż liczba wszystkich adresów tego typu wynosi 255^4, czyli ok. 4 miliardy, co już jest liczbą mniejszą niż liczba wszystkich komputerów obecnie istniejących na świecie. Nie jest więc możliwe, aby każdy komputer miał swój unikatowy adres IP. Z tego powodu definiuje się adresy publiczne (unikatowe) oraz prywatne (mogące się powtarzać) w postaci 10.x.x.x lub 192.168.x.x. Te ostatnie są rozpoznawalne tylko wewnątrz sieci lokalnej organizacji (lub coraz częściej nawet sieci domowej) i tłumaczone na adresy publiczne przez 1 Mosaic była pierwszą powszechnie używaną przez użytkowników Internetu przeglądarką, natomiast pierwszą historycznie tego typu aplikacją była ViolaWWW, opracowana w Uniwersytecie Illinois, ale nie wyszła ona nigdy poza fazę prototypu i w związku z tym jej popularność była bardzo ograniczona. 43

mechanizm NAT (Network Address Translation). W przyszłości problem braku adresów IP ma zostać rozwiązany przez wprowadzenie wersji szóstej tego protokołu z 128-bitowymi adresami (adresy obecnego protokołu w wersji czwartej są 32-bitowe), co odpowiada ok. 3,4 *10 38 różnych adresów, a to wystarczy na aktualne i przyszłe (o ile nie zostaną odkryte inne cywilizacje ) zapotrzebowanie. Jednak wprowadzanie protokołu IPv6, zwanego też IPnG, początkowo szacowane na mniej więcej rok 2005, jest z roku na rok przesuwane, a złożoność informatyczna tego przedsięwzięcia i konieczność wymiany bądź rekonfiguracji bardzo dużej części sprzętu sieciowego powoduje, iż trudno ustalić horyzont czasowy tej czynności. Publiczne adresy IP są tłumaczone przez protokół DNS (Domain Name System) na nazwy łatwiejsze do zapamiętania przez użytkowników (np. w postaci wgrit.ae.jgora.pl ). Do tego celu niezbędna jest sieć serwerów zarządzana przez INTERNIC (Internet Network Information Center), również instytucję rządową Stanów Zjednoczonych, powiązaną z departamentem handlu. Standardy techniczne Internetu ustalane są demokratycznie przez wszystkich jego użytkowników w postaci tzn. internet drafts propozycji standardów i dokumentów RFC (Request For Comments) zawierających wersje tych standardów zatwierdzone w drodze consensusu przez użytkowników sieci. Wszystkie tego typu dokumenty znajdują się na stronie IETF (Internet Engineering Task Force) instytucji zarządzającej standardami. Najpopularniejszymi usługami sieci Internet są WWW (World Wide Web ogólnoswiatowa pajęczyna ) bazująca na protokole transportowym HTTP (Hyper-Text Transfer Protocol) i języku opisu stron HTML (Hyper-Text Mark-up Language) oraz poczta elektroniczna e-mail, oparta na protokołach SMTP (Simple Mail Transfer Protocol), POP3 (Post-Office Protocol) oraz IMAP (Internet Message Access Protocol) obecnie w wersji 4. Oprócz nich użytkownicy Internetu mogą korzystać z : protokołów transferu plików FTP,SCP; narządzi pracy zdalnej: telnet, SSH, terminali pracy zdalnej; grup dyskusyjnych UseNet; sieci Peer-to-Peer typu edonkey(overnet) i bittorrent; komunikatorów internetowych typu Skype, Gadu-Gadu i wielu innych narzędzi i protokołów przeznaczonych do wyspecjalizowanych zastosowań. W organizacjach gospodarczych wykorzystanie otwartej sieci Internet związane jest zazwyczaj z umożliwieniem pracownikom korzystania z sieci WWW (wszystkim lub 44

wybranym) i poczty elektronicznej oraz z własną witryną WWW przeznaczoną dla klientów i partnerów biznesowych. Intranet to sieć wykorzystująca te same standardy technologiczne co Internet, jednak rozdzielona od niego zaporą sieciową, umożliwiającą dostęp tylko pracownikom i osobom upoważnionym. Sieć intranet oferuje dużo więcej usług niż otwarty Internet, np.: dostęp do danych znajdujących się na dyskach lokalnych komputerów; drukowanie i skanowanie w sieci; dostęp do wewnętrznego komunikatora firmy i systemów obiegu dokumentów; dostęp do systemów klasy ERP II poprzez przeglądarki WWW. Extranet to z kolei sieć logiczna zdefiniowana w otwartej sieci Internet. W przeciwieństwie do intranetu komputery w sieci ekstranet mogą znajdować się poza siecią korporacyjną, jednak dzięki zastosowaniu szyfrowanych tuneli osoby do tego nieuprawnione nie mogą z niej skorzystać. Sieć ekstranet zazwyczaj oferuje podzbiór usług sieci intranet. Dzięki niej możliwe jest, aby menedżerowie, zwłaszcza średniego i wyższego stopnia, mogli sprawdzić obroty firmy czy przejrzeć dokumenty przeznaczone do obiegu wewnętrznego, przebywając na negocjacjach biznesowych czy nawet na urlopie. 3.2. Standardy wymiany danych 3.2.1. XML Język XML (Extensible Mark-up Language) należy do rodziny języków opisu danych wykorzystujących znaczniki. Jest on pochodnym języka SGML (Standarized Generalized Mark-up Language), znacznie od niego prostszym w użyciu, a równocześnie w przeciwieństwie do np. języka HTML otwartym pod względem znaczników, tzn. pozwalającym użytkownikowi samodzielnie definiować zestaw znaczników używanych w opisie danych. Te dwie cechy sprawiają, iż XML stał się standardowym językiem opisu danych dla zdecydowanej większości systemów informatycznych, w tym systemów informatycznych przedsiębiorstw. Przykładowy (bardzo prosty) dokument XML może wyglądać tak jak na rys 3.1. 45

<?xml version="1.0" encoding="utf-8"?> <?xml-stylesheet type="text/css" href="example1.css"?> <Dokument> <Informacja> To jest dokument xml </Informacja> <Uzupelnienie> Autor: A.Dudek, podręcznik systemy informatyczne </Uzupelnienie> </Dokument> Rys 3.1. Przykładowy plik XML Źródło: opracowanie własne. Podstawową strukturą w dokumencie XML jest znacznik. Może on występować w dwóch postaciach <nazwa znacznika {atrybuty} > Tresc </nazw znacznika> lub <nazwa znacznika {atrybuty} />, przy czym symbol {} oznacza tu opcjonalność występowania atrybutów. Atrybuty XML to pary nazw i wartości umożliwiające wstawianie dodatkowych informacji w znacznikach. Aby przypisać atrybutowi wartość, używa się znaku równości. Na przykład poniżej każdemu elementowi KLIENT dodany zostaje atrybut STATUS, opisujący klienta jako kredytobiorcę: <?xml version="1.0" encoding="utf-8" standalone="yes"?> <DOKUMENT> <KLIENT STATUS="Rzetelny kredytobiorca" /> </DOKUMENT>. Na początku dokumentu XML powinny znajdować się instrukcje przetwarzania zaczynające się od <? i kończące na?>. Instrukcje przetwarzania nie wchodzą w skład specyfikacji XML. Bardzo powszechnie stosowaną i zwykle rozumianą przez przeglądarki 46

internetowe i aplikacje czytające ten format danych instrukcją przetwarzania jest <?xmlstylesheet?> łącząca dokument XML z arkuszem stylów. Dokument XML może zaczynać się od instrukcji przetwarzania, informującej, że dokument XML jest napisany właśnie w tym języku. <?xml version="1.0" standalone="yes" encoding="utf-8"?>. W deklaracji XML użyć można trzech atrybutów: version używana wersja XML; obecnie może to być tylko 1.0. Jeśli podaje się deklarację XML, atrybut ten jest obowiązkowy; encoding sposób kodowania znaków w dokumencie, ustawieniem domyślnym jest UTF-8. Można też użyć Unicode, UCS-2 lub UCS-4 oraz wielu innych zestawów znaków. standalone jeśli ma wartość yes, dokument nie odwołuje się do encji zewnętrznych; w przeciwnym wypadku ma wartość no. Jest to atrybut opcjonalny. Poprawnie sformułowany dokument XML musi zawierać jeden element, który będzie zawierał wszystkie inne elementy jest to element główny (root node). W XML łatwo można definiować nowe znaczniki, jednak w miarę powstawania coraz liczniejszych aplikacji pojawiać się może problem nieprzewidziany przez twórców pierwotnej wersji specyfikacji XML: konflikty nazw znaczników. Popularność zdobyły już np. dwie aplikacje XML: XHTML stworzony na podobieństwo HTML 4.0 oraz MathML, umożliwiający wyświetlanie równań. Część znaczników może powtarzać się pomiędzy różnymi dialektami, co może stwarzać wiele praktycznych problemów. Sposobem na ich uniknięcie są przestrzenie nazw, umożliwiające uniknięcie konfliktów między poszczególnymi zbiorami znaczników. Jeżeli korzystamy z przestrzeni nazw, to nazwę znacznika i atrybutu poprzedza się nazwą przestrzeni nazw z dwukropkiem; w ten sposób faktycznie zmienia się sam znacznik i konflikty się już nie pojawiają. Dokumenty XML mogą być połączone z arkuszami stylów zawierającymi informacje o tym, w jaki sposób mają one być wyświetlane w przeglądarkach internetowych i aplikacjach je wykorzystujących. Mogą one używać standardowych arkuszy stylów CSS (które są również standardowymi arkuszami stylów dokumentów HTML) oraz dedykowanych arkuszy XSL (Extensible Stylesheet Language rozszerzalny język arkuszy stylów). Arkusze XSL umożliwiają nie tylko określenie sposobu wyświetlania dokumentów XML, ale również transformowanie jednych dokumentów w inne, np. w celu zapewnienia kompatybilności 47

danych dla różnych aplikacji. Ta część standardu XSL nosi nazwę XSL Transformations lub w skrócie XSLT. Innym zagadnieniem często występującym w praktycznych zastosowaniach języka XML jest kwestia poprawności danych. Należy ją odróżnić od kwestii poprawności samego dokumentu. O ile plik może zawierać poprawnie skonstruowane znaczniki, to sama jego treść może być niepoprawna merytorycznie, np. dla katalogu bibliotecznego zawierając dane o spalaniu i pojemności bagażnika (są to najprawdopodobniej znaczniki przeznaczone dla aplikacji dotyczącej pojazdów samochodowych). Aby uniknąć takich sytuacji i zdefiniować dokładnie strukturę danych, którą będzie wykorzystywała aplikacja, można wykorzystać standard DTD (Document Type Definition definicja typu dokumentu), z rodziny tzn. XML Schema, definiujący, jakie elementy, jakich typów i w jaki sposób wzajemnie powiązane powinny znajdować się w poprawnym z punktu widzenia konkretnej aplikacji dokumencie XML. 3.2.2. EDI Standard elektronicznej wymiany danych (EDI Electronic Data Interchange), opracowany ok. 30 lat temu w Stanach Zjednoczonych, służy do przesyłania dokumentów w postaci cyfrowej pomiędzy systemami informatycznymi różnych przedsiębiorstw w sposób całkowicie zautomatyzowany. Protokół ten zastępuje tradycyjną komunikację między firmami polegającą na wydrukowaniu faktury, włożeniu do koperty, wysłaniu i wprowadzeniu do sytemu informatycznego kontrahenta. Jest też czymś więcej niż poczta elektroniczna, gdyż zawiera ścisłe definicje praktycznie wszystkich typów dokumentów, które mogą być wykorzystywane przez firmy uczestniczące w wymianie handlowej od specyfikacji załadunku, przez zamówienia, faktury, faktury korygujące aż do elektronicznych odpowiedników czeków. Ponadto, o ile e-mail dotyczy wymiany informacji między ludźmi, EDI funkcjonuje w sferze wymiany informacji między systemami komputerowymi. EDI może działać jako rozszerzenie poczty e-mail, choć równie dobrze funkcjonuje w powiązaniu ze standardem HTTP (protokołem transportowym sieci WWW), FTP czy niestandardowymi protokołami transportowymi definiowanymi przez producentów oprogramowania biznesowego. EDI można traktować jako lingua franca wszystkich systemów informatycznych zarządzania. Nie jest ważne, jak skomplikowany jest wewnętrzny format zapisu danych w 48

tych systemach. Jeśli potrafią one generować i przetwarzać dokumenty EDI, to mogą rozmawiać z innymi systemami. O ile sama idea elektronicznej wymiany danych była prawie przez wszystkich rozumiana jednakowo, o tyle na początku funkcjonowania tego standardu prawie każda branża czy grupa producentów oprogramowania próbowała ustalić własny standard zapisu danych, co prowadziło do sporego zamieszania i trochę opóźniało proces całkowitej automatyzacji wymiany danych pomiędzy firmami. Obecnie sytuacja unormowała się, a na rynku pozostały praktycznie dwa standardy międzynarodowy EDIFACT i używany w Ameryce Północnej ANSI ASC X12. Na przykład wiadomość EDI w formacie ANSI ASC X12 może wyglądać tak jak na rys 3.2. ISA:00: :00: :01:1515151515 :01:515151 5151 :041201:1217:U:00403:000032123:0:P:*~GS:CT:99887766 55:1122334455:20041201:1217:128:X:004030~ST:831:00128001~BGN :00:88200001:20041201~N9:BT:88200001~TRN:1:88200001~AMT:2:10 0000.00~QTY:46:1~SE:7:00128001~GE:1:128~IEA:1:000032123~ Rys 3.2. Przykładowa wiadomość EDI Źródło: [EDI to XML mapping ]. Znaczenie poszczególnych komunikatów w tej wiadomości jest następujące: ISA początek wiadomości; GS początek grupy funkcjonalnej; ST początek transakcji; BGN start segmentu; N9 identyfikator referencyjny; TRN ślad operacji; AMT kwota pieniężna; QTY ilość; SE koniec transakcji; GE koniec grupy funkcjonalnej; IEA koniec wiadomości. 49

O ile zastosowanie standardu EDI wewnątrz jednej korporacji czy grupy biznesowej nie wymaga zbyt dużo nakładów pracy poza samym wdrożeniem odpowiedniego standardu, o tyle połączenie biznesowe wielu niezależnych firm jest zadaniem skomplikowanym z możliwością wystąpienia najróżniejszych sytuacji konfliktowych, np. na szczeblu kompetencyjnym. Najwygodniejszym rozwiązaniem jest w takim przypadku skorzystanie z sieci usług dodatkowych (VAN Value-Added Network), utworzonej przez stronę trzecią, która zapewnia odpowiednią infrastrukturę i standardy komunikacyjne. Sieci VAN można przyrównać do biura pocztowego dla transakcji elektronicznych, a ich używanie umożliwia m.in. [Polski portal ]: zmniejszenie kosztów wymiany danych; koszty abonamentu są dużo niższe niż koszty samodzielnego utrzymania infrastruktury; zapewnienie bezpieczeństwa transakcji; dużą elastyczność operacji, możliwość skorzystania ze wszystkich lub prawie wszystkich standardowych protokołów komunikacyjnych; pomoc we wdrażaniu usług związanych z EDI przez doświadczony personel; rozwiązywanie problemów bezpieczeństwa serwisów internetowych i aplikacji intranetowych. Przykładową architekturę sieci VAN przedstawiono na rys. 1.4 w części poświęconej łańcuchom dostaw. Standard elektronicznej wymiany danych jest zresztą bardzo silnie powiązany właśnie z tą klasą systemów informatycznych zarządzania. 3.3. Bezpieczeństwo systemów sieciowych wprowadzenie Zagadnienia bezpieczeństwa odgrywają ważną rolę w codziennej pracy każdego systemu sieciowego, poczynając od pojedynczych komputerów osobistych aż do superkomputerów i dużych sieci rozległych. W przypadku sieci korporacyjnych zagadnienia te stają się kluczowe, gdyż nieautoryzowany dostęp do sieci i zawartych w niej zasobów korporacyjnych grozi wręcz katastrofalnymi następstwami. Trudno przeanalizować wszystkie skutki złamania zabezpieczeń siec korporacyjnych, jednak wśród najważniejszych z nich można wymienić: dostęp konkurencji do poufnych dokumentów wewnętrznych; utratę dokumentacji nowo opracowywanych produktów; przedostanie się do konkurencji szczegółów planowanych kampanii marketingowych; wykradnięcie bazy klientów firmy i ich danych osobowych; 50

oszustwa finansowe, np. przesłanie z systemu ERP komunikatu EDI z poleceniem rozliczenia nieistniejącej faktury; szkody dla wizerunku firmy, np. w przypadku umieszczenia na jej witrynie internetowej informacji ją ośmieszających. Walka o bezpieczeństwo sieci korporacyjnych odbywa się na trzech głównych płaszczyznach: bezpieczeństwo systemów operacyjnych, baz danych i aplikacji, zapory sieciowe, zastosowanie kryptografii do zabezpieczenia transmisji i plików. 3.3.1. Bezpieczeństwo systemów operacyjnych, baz danych i aplikacji Można wyróżnić kilka najważniejszych technik używanych przez włamywaczy/szpiegów informatycznych najczęściej, takich jak: Łamanie haseł do systemu; częstym sposobem włamywania się do pierwszych systemów podłączonych do Internetu było przechwytywanie plików z zakodowanymi hasłami i deszyfrowanie ich za pomocą programów typy Johny the Ripper czy Crack. W chwili obecnej sposób ten jest już rzadko używany. Spoofing i Sniffing, czyli podsłuchiwanie i przechwytywanie transmitowanych danych. Hakerzy używający tych technik mogą przechwycić hasła lub przejmować sesje, podszywając się pod autoryzowanego użytkownika. Ataki typu DOS (Denial of Service), polegające na blokowaniu pewnych usług lub unieruchomieniu całych systemów komputerowych. Ataki związane z przepełnieniem bufora. Jest to bardzo popularny rodzaj ataków polegający na wykorzystywaniu błędów w programach. Jeśli programiści tworzący oprogramowanie systemowe nie przyłożyli odpowiedniej wagi do sprawdzania poprawności i rozmiaru danych wejściowych, to jest możliwe takie skonstruowanie tych danych, że zawierają one również dodatkowe instrukcje wykonywane przez program. Dzięki temu mechanizmowi haker może przejąć kontrolę nad komputerem wykonującym błędnie napisany program. Tego typu błędy są wykrywane dość często, na szczęście najczęściej czas od wykrycia luki do stworzenia poprawki programu usuwającej ją nie przekracza kilku dni. 51

Ataki typu code-injection (wstrzykiwanie, wrzucanie kodu) ze szczególnie popularnymi odmiana cross-site scripting (XSS) i SQL injection, polegające na tym, iż w polach formularzy wypełnianych na stronach internetowych (np. nazwach użytkowników i hasłach) wprowadzane są fragmenty kodu języka skryptowego (np. JavaScript) lub języka zapytań do baz danych Structured Query Language, a przy spełnieniu pewnych warunków i braku odpowiedniego filtrowania wprowadzanych danych mogą one być wykonane za pomocą wyświetlenia np. zakodowanego hasła dostępu do części zabezpieczonej serwisu lub dodania do bazy nowego użytkownika z uprawnieniami administratora. Podobnie jak w przypadku błędów typu przepełnienie bufora największą odpowiedzialność za ich unikanie ponosi programista systemu. 3.3.2. Zapory sieciowa Ściana (bądź zapora) ogniowa, czyli firewall, to pojęcie ze świata motoryzacyjnego, oznaczające część samochodu oddzielającą silnik od kabiny pasażera, zrobioną z niepalnych materiałów i znacznie zwiększającą bezpieczeństwo w przypadku pożaru. Jeśli przyjąć, że pakiety zawierające dane spreparowane przez potencjalnego włamywacza lub odwołujące się do niebezpiecznych usług wewnątrz sieci lokalnej (choćby tych, dla których można zdalnie przeprowadzić atak z przepełnieniem bufora) to rodzaj pożaru, a sieć korporacyjna jest odpowiednikiem kabiny samochodowej, to funkcja zapór sieciowych w przesyłaniu danych jest zbliżona do jej odpowiednika motoryzacyjnego. Zapory sieciowe są bardzo istotnym elementem systemu bezpieczeństwa sieci. Ich najważniejsze zastosowania można podzielić na trzy grupy: filtr pakietów; serwer przekazujący (proxy); NAT/Masquerade. Filtr pakietów Podstawowym zastosowaniem firewalli jest decydowanie o tym, które pakiety mogą przejść z sieci wewnętrznej do Internetu i odwrotnie oraz z których usług sieciowych mogą korzystać użytkownicy. Taka funkcja nosi nazwę filtru pakietów (packet filter lub screening host). Zwykle filtrowanie odbywa się przez zdefiniowanie wielu reguł określających z/do jakich adresów możliwe jest łączenie z sieci lokalnej oraz z jakich usług (identyfikowanych tu przez numery portów sieciowych) mogą korzystać komputery w niej się znajdujące. 52

Filtrowanie pakietów jest na tyle popularnym mechanizmem, iż powoli przestaje być uważane za funkcję zapory ogniowej, a raczej wchodzi w skład systemu operacyjnego, o czym świadczyć może fakt, iż praktycznie wszystkie dystrybucje nowoczesnych systemów operacyjnych mają wbudowane filtry pakietów. Rysunek 3.3 przedstawia taką usługę dla MS Windows XP. Ponadto coraz popularniejsze jest oprogramowanie komercyjne lub typu shareware oferujące funkcje prostego osobistego filtru pakietów dla systemu Windows. Przykładami takich rozwiązań są Symantec Endpoint Protection czy McAffe Personal Firewall. Rys. 3.3. Ustawienia filtru pakietów w systemie MS Windows XP Źródło: opracowanie własne. Serwer przekazujący Innym sposobem ograniczenia możliwości ataków jest całkowite zablokowanie komunikacji między siecią korporacyjną a siecią zewnętrzną. Cały ruch z sieci korporacyjnej odbywa się w takiej sytuacji za pośrednictwem serwera przekazującego (proxy). Przykładowy 53

scenariusz połączenia z zewnętrznym serwerem WWW i pobranie strony wygląda następująco: przesłanie polecenia ściągnięcia strony z komputera w sieci korporacyjnej do serwera przekazującego, nawiązanie połączenia serwera przekazującego z serwerem WWW, przesłanie wybranej strony WWW do serwera przekazującego, pobranie strony WWW przez komputer lokalny z serwera przekazującego. Warto zauważyć, że w takim scenariuszu w żadnym momencie nie jest nawiązywane połączenie komputera chronionego z sieci lokalnej z komputerem zewnętrznym. Istnieją dwie podstawowe klasyfikacje oprogramowania typu proxy: 1. Według uniwersalności: a) pośredniczące w dowolnej usłudze, czyli proxy uniwersalne, takie jak SOCKS 4, SOCKS 5, Microsoft Internet Security & Acceleration Server (ISA) czy Microsoft Proxy 2.0; b) proxy wyspecjalizowane, najczęściej typu http proxy i ftp proxy, np. SQUID. 2. Według korzystania z pamięci podręcznej: a) zapamiętujące przekazywane dane w dyskowej pamięci pomocniczej proxy typu CACHE, takie jak SQUID, ISA, MS Proxy 2.0; b) tylko pośredniczące SOCKS 4, SOCKS 5. Efektem ubocznym korzystania z proxy typu CACHE może być zwiększenie przepustowości sieci. Łatwo wyobrazić sobie scenariusz, gdy kilkadziesiąt stacji roboczych pobiera w krótkim okresie ten sam obiekt (stronę WWW, plik itp.). Jeśli pośredniczy w tym oprogramowanie typu SQIUD lub ISA Server, to faktycznie obiekt jest pobierany tylko przy pierwszym połączeniu, a pozostałe stacje robocze otrzymują kopię lokalną. Przy bardzo często spotykanej sytuacji, w której przepustowość sieci lokalnej jest kilkadziesiąt (lub nawet kilkaset) razy większa niż sieci zewnętrznej, oszczędność jest bardzo wyraźna. NAT/MASQUERADE Dodatkowym zabezpieczeniem komputerów w sieci lokalnej może być adresowanie ich prywatnymi numerami IP. Taki mechanizm nazywany jest Network Address Tranlation (NAT) lub Masquerade. 54

Mechanizmy Network Address Translation i Masquerade, mimo iż pokrewne, nie są tożsame. Pierwszy z nich umożliwia tłumaczenie adresów prywatnych na pulę adresów publicznych, drugi zawsze korzysta z jednego adresu IP. Warto przypomnieć, iż mechanizm NAT jest dodatkowo receptą na brak publicznych adresów IP w sieci Internet (zob. pkt 3.1.) 3.3.3. Zastosowanie kryptografii Trzecią z płaszczyzn, na której toczy się walka z włamywaczami komputerowymi, jest kodowanie danych tak, żeby nawet po ich przechwyceniu były nieczytelne dla osób nieuprawnionych do ich odbierania. Tu w sukurs idzie matematyka, a głównie teoria liczb i algorytmy kryptograficzne symetryczne (tylko z kluczem prywatnym służącym zarówno do szyfrowania, jak i do deszyfrowania), asymetryczne (z parą kluczy publicznym służącym do kodowania, i prywatnym służącym do dekodowania) oraz jednokierunkowe funkcje skrótu przypisujące fragmentom tekstu niepowtarzalne liczby szesnastkowe w taki sposób, aby na ich podstawie nie dało się ustalić tekstu przed przekształceniem. Najważniejsze algorytmy klucza prywatnego (symetryczne) to: Algorytmy historyczne: Cezara, Plyfaira, ROT-13; DES Data Encryption Standard najpopularniejszy algorytm symetryczny; seria permutacji, zastąpień i kombinacji bloku 64 bitów i 56-bitowego klucza; IDEA seria 8 operacji XOR, dodawania modulo 2 16 i mnożenia modulo (2 16 +1) bloku 64 bitów i 128-bitowego klucza; SkipJack; BlowFish. Wśród algorytmów klucza publicznego (asymetrycznych) warto wymienić: algorytm RSA opatentowany w 1977 r. przez Ronalda Rivesta, Adi Shamira i Leonarda Adelmana (stąd nazwa) algorytm RSA jest najbardziej popularnym w Europie i zyskującym coraz większą popularność w USA algorytmem klucza publicznego; algorytm ElGamala algorytm, którego bezpieczeństwo związane jest ze złożonością obliczania dyskretnych logarytmów; 55

Algorytm DSA (Digital Signature Algorithm) amerykański standard kodowania podpisów cyfrowych jest algorytmem, który może być używany jedynie do tworzenia podpisów cyfrowych. DSA opiera się na elementach algorytmu ElGamala. Natomiast trzy najważniejsze rodziny funkcji skrótu to: CRC, MD5, rodzina algorytmów SHA SH-0,SH-1,SH-224,SHA-256,SHA-384,SHA-512. Najważniejsze zastosowania symetrycznych i asymetrycznych algorytmów kryptograficznych to podpis elektroniczny, SSL, PGP i szyfrowane tunele. Podpis elektroniczny Podpis cyfrowy to Wynik przekształcenia kryptograficznego dokonanego za pomocą czyjegoś klucza prywatnego w celu potwierdzenia zawartości dokumentu. Aby efekt działania algorytmu kryptograficznego mógł zostać nazwany podpisem elektronicznym, musi spełniać cztery podstawowe funkcje: uniemożliwienie podszywania się innych pod daną osobę (autentyfikacja); zapewnienie wykrywalności wszelkiej zmiany w danych transakcji (integralność transakcji); zapewnienie niemożności wyparcia się podpisu przez autora; umożliwienie weryfikacji podpisu przez osobę niezależną. PGP Pretty Good Privacy to wymyślony w 1991 r. przez P. Zimmermana system kodowania poczty oparty na połączeniu protokołu asymetrycznego i symetrycznego. Listy są kodowane kluczem symetrycznym, natomiast sam klucz jest przesyłany do odbiorcy protokołem asymetrycznym. Każdy uczestnik systemu PGP ma swój klucz prywatny (służący do odczytywania listów, zabezpieczony hasłem) i publiczny, który udostępnia innym. Jeśli chcemy wysłać list, które ma odczytać wybrana osoba, kodujemy go kluczem publicznym tej osoby, co zapewnia, że ktoś, kto niema klucza prywatnego odpowiadającego kluczowi publicznemu, nie jest w stanie dokonać deszyfrowania. SSH/SSL Zastosowanie szyfrowania z kluczem publicznym pozwala zarówno na utajnienie przesyłanych przez sieć danych (a więc zabezpiecza przed przechwyceniem np. numeru karty kredytowej drogą 56

podsłuchu), jak i dzięki podpisowi elektronicznemu na wzajemne uwierzytelnienie uczestników transakcji. Jako pierwsza wykorzystało to firma Netscape, wprowadzając już w pierwszych wersjach swojej przeglądarki WWW protokół o nazwie SSL. W zamierzeniach miał być stosowany do szyfrowania połączeń internetowych dowolnego typu, ale w chwili obecnej używany jest głównie w odniesieniu do WWW. Obecnie SSL dostępny jest we wszystkich ważniejszych przeglądarkach WWW i na serwerach WWW Apache, IIS, Netscape. Oprócz bezpiecznego przeglądania stron WWW ssl może służyć do bezpiecznej zdalnej pracy na komputerze. Trzecim zastosowaniem SSL jest Stunnel (http://www.stunnel.org/ ) służący do bezpiecznego przesyłania haseł pocztowych w protokole POP3. Szyfrowane tunele Szyfrowane tunele, nazywane również wirtualnymi prywatnymi sieciami (VPN Virtual Private Network) pozwalają na bezpieczne połączenie za pomocą Internetu dwóch fizycznie rozdzielonych sieci i pracę tak jak w jednej sieci wewnętrznej (intranetowej). Najpopularniejsze protokoły realizujące funkcje szyfrowanych tuneli to: IPsec, PPTP, OpenVPN, L2TP, Hamachi. Istnieją trzy najważniejsze odmiany sieci VPN: bezpieczne połączenia VPN (secure VPN) cały ruch sieciowy musi być szyfrowany i uwierzytelniany, standardy zabezpieczeń muszą być uzgodnione przez wszystkie strony korzystające z bezpiecznego połączenia, nikt oprócz stron korzystających z sieci nie może mieć wpływu na ustalenia dotyczące zabezpieczeń w sieci; zaufane połączenia VPN (trusted VPN) nikt inny niż zaufany dostawca VPN nie może mieć wpływu na tworzenie lub modyfikację trasy w sieci, zasady adresowania i ustalania marszrut sieciowych (routingu) w sieci muszą być ustalone, zanim sieć jest utworzona, i nie mogą być zmieniane; hybrydowe połączenia VPN (hybrid VPN) łączące cechy obu poprzednich rozwiązań. Na przykład w sytuacji, gdy wydzielony dział firmy, pracujący nad koncepcjami nowych produktów, w celu dodatkowej ochrony przed wyciekiem informacji dodatkowo 57

wprowadza sieć szyfrowaną, bazując na zaufanym połączeniu VPN funkcjonującym w całym przedsiębiorstwie (we wszystkich jego lokalizacjach). 58

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres